Åtgärdscentret

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Åtgärdscentret tillhandahåller en "enda fönsterruta" för incident- och aviseringsuppgifter som:

  • Godkänna väntande reparationsåtgärder.
  • Visa en granskningslogg med redan godkända reparationsåtgärder.
  • Granska slutförda reparationsåtgärder.

Eftersom Åtgärdscenter ger en omfattande vy över Microsoft Defender XDR på jobbet kan ditt säkerhetsteam arbeta mer effektivt och effektivt.

Det enhetliga åtgärdscentret

Det enhetliga åtgärdscentret (https://security.microsoft.com/action-center) visar väntande och slutförda reparationsåtgärder för dina enheter, e-post & samarbetsinnehåll och identiteter på en plats.

Det enhetliga åtgärdscentret i Microsoft Defender-portalen.

Till exempel:

Det enhetliga åtgärdscentret samlar reparationsåtgärder i Defender för Endpoint och Defender för Office 365. Det definierar ett gemensamt språk för alla reparationsåtgärder och ger en enhetlig undersökningsupplevelse. Ditt säkerhetsteam har en "enda fönsterruta" för att visa och hantera reparationsåtgärder.

Du kan använda det enhetliga åtgärdscentret om du har rätt behörigheter och en eller flera av följande prenumerationer:

Tips

Mer information finns i Krav.

Du kan navigera till listan över åtgärder som väntar på godkännande på två olika sätt:

Använda Åtgärdscenter

  1. Gå till Microsoft Defender-portalen och logga in.

  2. I navigeringsfönstret under Åtgärder och inlämningar väljer du Åtgärdscenter. Du kan också välja Godkänn i Åtgärdscenter i svarskortet Automatiserad undersökning &.

  3. Använd flikarna Väntande åtgärder och historik . I följande tabell sammanfattas det du ser på varje flik:

    Tabb Beskrivning
    Väntande Visar en lista över åtgärder som kräver uppmärksamhet. Du kan godkänna eller avvisa åtgärder en i taget, eller välja flera åtgärder om de har samma typ av åtgärd (till exempel Karantänfil).

    Se till att granska och godkänna (eller avvisa) väntande åtgärder så snart som möjligt så att dina automatiserade undersökningar kan slutföras i tid.
    Historik Fungerar som en granskningslogg för åtgärder som har vidtagits, till exempel:
    – Åtgärder som har vidtagits till följd av automatiserade undersökningar
    – Åtgärder som har vidtagits för misstänkta eller skadliga e-postmeddelanden, filer eller URL:er
    – Åtgärdsåtgärder som har godkänts av ditt säkerhetsåtgärdsteam
    - Kommandon som kördes och reparationsåtgärder som tillämpades under livesvarssessioner
    – Åtgärder som har vidtagits av ditt antivirusskydd

    Ger ett sätt att ångra vissa åtgärder (se Ångra slutförda åtgärder).

  4. Du kan anpassa, sortera, filtrera och exportera data i Åtgärdscenter.

    Skärmbild som visar funktionerna för att sortera, filtrera och anpassa i Åtgärdscenter.

    • Välj en kolumnrubrik för att sortera objekt i stigande eller fallande ordning.
    • Använd tidsintervallfiltret för att visa data för de senaste dagarna, veckan, 30 dagarna eller 6 månaderna.
    • Välj de kolumner som du vill visa.
    • Ange hur många objekt som ska inkluderas på varje datasida.
    • Använd filter för att visa bara de objekt som du vill se.
    • Välj Exportera för att exportera resultat till en .csv fil.

Åtgärder som spåras i Åtgärdscenter

Alla åtgärder, oavsett om de väntar på godkännande eller redan har vidtagits, spåras i Åtgärdscenter. Tillgängliga åtgärder omfattar följande:

  • Samla in undersökningspaket
  • Isolera enhet (den här åtgärden kan ångras)
  • Avregistrera maskin
  • Versionskodkörning
  • Frisläpp från karantän
  • Exempel på begäran
  • Begränsa kodkörning (den här åtgärden kan ångras)
  • Kör antivirusgenomsökning
  • Stoppa och placera i karantän
  • Innehålla enheter från nätverket

Förutom åtgärder som vidtas automatiskt till följd av automatiserade undersökningar spårar Åtgärdscenter även åtgärder som ditt säkerhetsteam har vidtagit för att åtgärda identifierade hot och åtgärder som har vidtagits till följd av hotskyddsfunktioner i Microsoft Defender XDR. Mer information om automatiska och manuella åtgärder finns i Reparationsåtgärder.

Visa information om åtgärdskällan

(NY!) Det förbättrade åtgärdscentret innehåller nu en kolumn för åtgärdskälla som anger var varje åtgärd kommer ifrån. I följande tabell beskrivs möjliga värden för åtgärdskälla :

Värde för åtgärdskälla Beskrivning
Manuell enhetsåtgärd En manuell åtgärd som vidtas på en enhet. Exempel är enhetsisolering eller filkarantän.
Manuell e-poståtgärd En manuell åtgärd som vidtas via e-post. Ett exempel omfattar mjuk borttagning av e-postmeddelanden eller reparation av ett e-postmeddelande.
Automatiserad enhetsåtgärd En automatiserad åtgärd som vidtas på en entitet, till exempel en fil eller process. Exempel på automatiserade åtgärder är att skicka en fil i karantän, stoppa en process och ta bort en registernyckel. (Se Reparationsåtgärder i Microsoft Defender för Endpoint.)
Automatisk e-poståtgärd En automatiserad åtgärd som vidtas för e-postinnehåll, till exempel ett e-postmeddelande, en bifogad fil eller en URL. Exempel på automatiserade åtgärder är mjuk borttagning av e-postmeddelanden, blockering av URL:er och avstängning av extern vidarebefordran av e-post. (Se Reparationsåtgärder i Microsoft Defender för Office 365.)
Avancerad jaktåtgärd Åtgärder som vidtas på enheter eller e-post med avancerad jakt.
Explorer-åtgärd Åtgärder som vidtas för e-postinnehåll med Explorer.
Manuell direktsvarsåtgärd Åtgärder som vidtas på en enhet med livesvar. Exempel är att ta bort en fil, stoppa en process och ta bort en schemalagd aktivitet.
Åtgärd för livesvar Åtgärder som vidtas på en enhet med Microsoft Defender för Endpoint-API:er. Exempel på åtgärder är att isolera en enhet, köra en antivirusgenomsökning och hämta information om en fil.

Behörigheter som krävs för Åtgärdscenter-uppgifter

Om du vill utföra uppgifter, till exempel att godkänna eller avvisa väntande åtgärder i åtgärdscentret, måste du ha behörigheter som anges i följande tabell:

Åtgärd för reparation Nödvändiga roller och behörigheter
Microsoft Defender för Endpoint reparation (enheter) Rollen säkerhetsadministratör tilldelad i antingen Microsoft Entra ID (https://portal.azure.com) eller Administrationscenter för Microsoft 365 (https://admin.microsoft.com)
---Eller---
Roll för aktiva reparationsåtgärder som tilldelats i Microsoft Defender för Endpoint

Mer information finns i följande resurser:
- Microsoft Entra inbyggda roller
- Skapa och hantera roller för rollbaserad åtkomstkontroll (Microsoft Defender för Endpoint)
Microsoft Defender för Office 365 reparation (Office-innehåll och e-post) Rollen säkerhetsadministratör tilldelad i antingen Microsoft Entra ID (https://portal.azure.com) eller Administrationscenter för Microsoft 365 (https://admin.microsoft.com)
---Och---
Search- och rensningsrollen som tilldelats i samarbetsrollerna Microsoft Defender XDR Email &>

VIKTIGT! Om du bara har rollen Säkerhetsadministratör tilldelad i Microsoft Defender XDR Email & >samarbetsroller kommer du inte att kunna komma åt funktionerna i Åtgärdscenter eller Microsoft Defender XDR. Du måste ha rollen Säkerhetsadministratör tilldelad i Microsoft Entra ID eller Administrationscenter för Microsoft 365.

Mer information finns i följande resurser:
- Microsoft Entra inbyggda roller
- Behörigheter i Säkerhets- & Efterlevnadscenter

Tips

Användare som har tilldelats rollen Global administratör i Microsoft Entra ID kan godkänna eller avvisa väntande åtgärder i Åtgärdscenter. Men som bästa praxis bör din organisation begränsa antalet personer som har tilldelats rollen Global administratör . Vi rekommenderar att du använder säkerhetsadministratören, aktiva reparationsåtgärder och Search- och rensningsrollerna som anges i föregående tabell för Behörigheter för Åtgärdscenter.

Nästa steg

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.